Essential Guide

Funktionen und Features von Windows 10

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Verbesserungen der Active Directory Federation Services in Windows Server 2016

Windows Server 2016 bietet Administratoren neue Möglichkeiten der Active Directory Federation Services. Davon profitieren auch bestehende Anwendungen.

Microsofts Team für den Cloud-basierten Verzeichnisdienst Azure Active Directory hat lange daran gearbeitet, Identität als neue Steuerungsebene einzusetzen. Die Identität des Nutzers, also wer man ist, welche Rolle man im Unternehmen einnimmt, woran man arbeiten und auf welche Dateien man zugreifen darf – diese Konstellation dürfte wohl den kleinsten gemeinsamen Nenner der Zugriffskontrolle darstellen.

Ganz egal, ob eine Ressource oder ein Gerät Eigentum des Unternehmens ist, in einem Data Center liegt oder als Cloud-App oder über den Webservice eines Drittanbieters gehostet wird, die Nutzeridentität sollte immer festlegen, welche Ressourcen erreichbar sind und worauf der Zugriff verwehrt wird.

Aus diesem Grund hat Microsoft auch einige Verbesserungen und Weiterentwicklungen in die Active Directory Federation Services (ADFS) von Windows Server 2016 sowie in Azure Active Directory integriert, was die Konfiguration der Zugriffskontrolle in vielen Situation wesentlich verbessern wird. So wurde zum Beispiel die konditionale Zugriffskontrolle erweitert, um Administratoren zusätzliche Kontrollmöglichkeiten zu geben: Bei der Nutzung von Ressourcen und Apps lässt sich nun beispielsweise das Level an Vertrauen und damit der Zugriffsrechte in Abhängigkeit des Endgerätes und des Standortes festlegen.

Intune liefert den Unterbau für mehr Kontrollmöglichkeiten

Grundlage dieser Funktionalität ist das Cloud-Konfigurationswerkzeug Microsoft Intune. Intune wird grundsätzlich mit der Microsoft Enterprise Mobility Suite (EMS) vertrieben und ist Teil des kostenpflichtigen Azure Active Directory Premium, das bereits in der EMS-Lizenz enthalten ist.

Intune trägt nun die Verantwortung dafür, dass alle Geräte, die einem Unternehmen beigefügt wurden oder direkt von diesem verwaltet werden, jederzeit aktuell in einem Repository geführt werden. Intune kann außerdem im Compliance-Bereich die Richtlinienkonformität eines Geräts überprüfen.

Für Intune ist dies ein New Device Trust Level. Dieses Level kann sich in einem von drei Zuständen befinden: Authenticated, Managed oder Compliant. Mithilfe dieser neuen Zustände können Administratoren mit Rückgriff auf konditionale Zugriffe komplexe Regeln erstellen:

  • Alle Angestellten der Personalabteilung erhalten Zugriff auf das SharePoint-Webportal für Kompensationsstrategien erst nach erfolgreicher Mehrfaktor-Authentifizierung.
  • Nur Vertragspartner mit richtlinienkonformen Geräten erhalten Zugriff auf den Salesforce-Mandanten.
  • Vertriebsmitarbeiter können sich mit On-Premise-Ressourcen auch dann remote verbinden, wenn ihr Endgerät nur Mitglied des Workplace und nicht zwangsläufig auch der Domäne ist.

Identity und Geräte verschmelzen

Administratoren können Regeln aufstellen, die die Identität eines Anwenders überprüfen oder die Prüfung auf die Mitgliedschaft in Rollen und Gruppen begrenzen, zu denen der Benutzer auf Basis seiner Identität Zugriff hat. Die IT-Abteilung kann sogar die Richtlinienkonformität eines Geräts an diese Identität koppeln um somit sicherzustellen, dass auch die zugelassenen Personen nur mit sicheren, richtlinienkonformen Geräten auf sensible Anwendungen zugreifen können.

Es könnte sogar Anwendungen geben, die nur auf bestimmten Geräten zugelassen wären, die entweder Mitglieder einer Domäne oder eines Workplace sind, um auf diese Weise die verschlüsselte Speicherung durchzusetzen. In anderen Fällen mag die Bedeutung von Apps auf Lektüre und Konsum von Inhalten begrenzt sein, womit die IT-Abteilung dann nur noch die Identitätsüberprüfung sicherzustellen hätte.

Windows Server 2016 erweitert die Möglichkeiten

Seit Windows Server 2016 funktioniert diese konditionale Zugangskontrolle auch über physische Umgebungen hinweg. IT-Verantwortliche können die Zugriffssteuerungen für On-Premise-Anwendungen mit Hilfe des Active Directory ebenso etablieren wie mit Cloud-Diensten wie Office 365 oder anderen Cloud-Apps, die von Azure Active Directory föderiert und gesichert werden können – einschließlich DocuSign und Salesforce.

Azure Active Directory synchronisiert Gerätezustandsinformationen in das reguläre AD-Deployment, Unternehmen können die App dann per Active Directory Application Proxy veröffentlichen, der diese Restriktionen für Gerätezustände versteht.

IT-Abteilungen müssen hierfür lediglich noch Azure AD Connect installieren, ein Ersatz für DirSync. Azure AD Connect ist vor allem dann hilfreich, wenn Unternehmen sowohl Legacy-Applikationen als auch Azure-Ressourcen nutzen.

App-Code kann unberührt bleiben

Einer der zentralen Vorteile hierbei ist die Möglichkeit, Multifaktor-Authentifizierung für On-Premise- und Cloud-Apps erzwingen zu können, ohne dafür Änderungen am Code der Applikation vornehmen zu müssen.

Durch die Nutzung von ADFS zur Authentifizierung müssen Apps lediglich Claims unterstützen, wobei hier die gängigsten Protokolle unterstützt werden, darunter OAuth 2.0, OpenID Connect, SAML oder WS-Federation. IT-Abteilungen können die Arbeit der komplexen Multifaktor-Authentifizierung dann einfach dem Azure Active Directory überlassen. Damit werden bestehende Anwendungen wesentlich sicherer, und das zu einem überschaubaren monatlichen Preis für die EMS-Lizenz sowie für ein paar Stunden Konfigurationsarbeit.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Funktionen und Features von Windows 10

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close